Bestuurders persoonlijk aansprakelijk bij nieuwe meldplicht datalekken

De Wet meldplicht datalekken die per 1 januari 2016 van kracht wordt, verplicht bedrijven en overheidsinstellingen om melding te maken als gegevens digitaal blijken te zijn ontvreemd. Indien men een datalek niet op tijd meldt (binnen 2 werkdagen), dan riskeren organisaties een boete die kan oplopen tot maximaal €810.000. Een tweede, vaak vergeten aspect, is dat bestuurders van organisaties persoonlijk verantwoordelijk en aansprakelijk kunnen worden gehouden voor het niet naleven van de privacy-wetgeving.

Een misverstand dat wij vaak horen is dat men denkt dat men een forse boete krijgt als er zich een datalek voordoet. Nee, men krijgt pas een boete als het datalek niet of niet op tijd wordt gemeld. Als na de melding blijkt dat men nalatig is geweest met het nemen van de vereiste beveiligingsmaatregelen, dan is er tevens een kans dat de toezichthouder hiervoor ook zo’n hoge boete oplegt. Een gunstig gevolg hiervan is dat cybersecurity en privacy niet langer gedelegeerd kan worden naar de IT-afdeling, maar het een onderwerp moet zijn op de agenda van de directie of raad van bestuur.

Figuur 1. Nováccent heeft een aanpak ontwikkeld op basis waarvan organisaties aan de slag kunnen met de meldplicht datalekken.

Je hoort vaak: ‘Het is niet de vraag of zich een datalek kan voordoen, maar wanneer’. Het gaat er om dat organisaties zich voorbereiden op een datalek. Dat we hier nog een flink aantal stappen moeten nemen blijkt wel uit diverse onderzoeken naar diverse datalek-incidenten, waarbij in 85% van de gevallen blijkt dat een datalek pas na weken ontdekt wordt en dat in 92% van de gevallen het datalek door een derde partij wordt ontdekt.

Stappenplan

Welke stappen moet ik nu ondernemen om voorbereid te zijn op een datalek?

Nováccent heeft een aanpak ontwikkeld op basis waarvan organisaties aan de slag kunnen met de meldplicht datalekken (zie figuur 1).

  • Organisatie: overzicht en inzicht in de formeel juridische relaties van de organisatie, dochters, deelnemingen, partners en samenwerkingsverbanden en de bijbehorende contracten
  • Bewerkingen: overzicht en inzicht in alle bewerkingen van persoonsgegevens. Tevens hoort hierbij het uitvoeren van een weerbaarheidscheck op de bewerkersovereenkomsten om zo inzichtelijk te krijgen wat de aansprakelijkheids- en kostenrisico’s zijn. Vervolgens moet men een managementsysteem inrichten om de interne controle op de bewerkingen te handhaven. Hierdoor is men voorbereid op de mogelijke vragen van de toezichthouder en/of betrokkene wanneer een datalek incident is opgetreden
  • Informatie- en IT-risico’s: analyse op de weerbaarheid tegen een datalek
    1. Waar staat de data?
    2. Wie is de eigenaar?
    3. Met wie wordt de data gedeeld (bewerkingen)?
    4. Hoe wordt de data gedeeld?
    5. Welke beveiligingsmaatregelen zijn er getroffen om data te beschermen?
    6. Welke risico’s zijn er op datalekken?
    7. Wat is de bewustwording in de organisatie?
    8. Wat is het beleid?
    9. Hoe is de organisatie voor wat betreft informatiebeveiliging ingericht?
    10. Welke voorzieningen zijn ingericht om datalek te kunnen detecteren?
  • Maatregelen: implementeren en inrichten van maatregelen om weerbaarheid tegen datalek te vergroten.
  • Incident response: implementeren en inrichten van Incident Response.

Waar staat kritische data?

Uit onderzoek blijkt dat veel organisaties niet weten waar hun kritische data staat. Het is van belang om dit in kaart te brengen, vervolgens te classificeren, bepalen met wie data gedeeld wordt en vervolgens met welke beveiligingsmaatregelen de data moet worden beveiligd ([zie figuur 2).

Dataclassificatie vormt een cruciaal onderdeel in het beveiligingssysteem en bepaalt in belangrijke mate de effectiviteit van de overige maatregelen. Immers als men bijvoorbeeld een document heeft geclassificeerd als ‘Vertrouwelijk’ dan herkent bijvoorbeeld een Data Leak Prevention oplossing deze classificatie en kan men hierop het geldende beleid loslaten. Maar ook kan men een vertrouwelijk document beschermen door deze te versleutelen en van rechten te voorzien (wie mag document inzien, bewerken, printen, doorsturen et cetera). Deze vorm van beveiligen wordt ook wel Information Rights Management genoemd. Een dergelijke oplossing is tot op heden maar mondjesmaat ingezet, maar kan door de druk van de Meldplicht datalekken wel eens een zeer effectieve maatregel blijken, aangezien men de volledige controle krijgt over de data. Het aantoonbaar maken hiervan doet het wel heel goed bij de toezichthouder.

Figuur 2. Uit onderzoek blijkt dat veel organisaties niet weten waar hun kritische data staat.

Snelle detectie

Om snel en adequaat te kunnen achterhalen of er een datalek heeft plaatsgevonden, zal je in ieder geval moeten monitoren wat er op je ICT-infrastructuur en binnen je applicaties en data gebeurt. Snelle detectie is van belang om op tijd de melding te kunnen doen en de impact van het incident zoveel mogelijk te beperken. Vervolgens zal je de response op het incident effectief moeten organiseren en tot slot maatregelen moeten treffen om de schadelijke gevolgen van het incident zoveel mogelijk te beperken, informatie te verzamelen om onderzoek te kunnen doen naar het incident en indien noodzakelijk schadelijke software te verwijderen.

Wij raden aan om samen met het top management, IT en communicatie een workshop te organiseren: Datalek incident nu! Een datalek incident kan immers nu gebeuren. De journalist van RTL4 kan nu bellen met de melding dat er gevoelige persoonsgegevens vanuit jouw organisatie is uitgelekt. In deze praktische oefening gaan we na hoe de response van de organisatie is. Welke oplossingen er vanuit de organisatie worden aangedragen om een uitweg te zoeken uit de crisis?

Hoger plan

Na een dergelijke oefening weet men hoe men er nu voorstaat en aan welke disciplines men nog moet werken om de organisatie naar een hoger plan te trekken.

De status quo van de huidige situatie wordt als uitgangspunt gebruikt voor het inrichten van de incidentmanagement organisatie en voor de inrichten van de vereiste hulpmiddelen  voor monitoring, detectie, analyse en reparatie met de bijbehorende organisatie, mensen en expertise.